Хакеры начали активно распространять стилеры на торрентах через популярные игры
изображение: recraft
Специалисты по кибербезопасности обратили внимание на продолжительную хакерскую кампанию, замаскированную под установщики пиратских игр, где внутрь дистрибутивов встраивается вредоносный компонент RenEngine Loader. Он не мешает запуску самой игры и потому долго остаётся вне поля зрения владельца системы.
Схема выглядит изящно. Пользователь тянется к торренту с «бесплатной» игрой, запускает установщик и получает ровно то, за чем пришёл. Проект стартует, меню открывается, никаких тревожных сигналов.
За кулисами же поселяется RenEngine Loader, скрытный загрузчик, который не мешает игровому процессу и потому долго не попадает в поле зрения. Он не шумит, не ломает систему и не требует действий. Его задача другая — подготовить почву.
Исследователи из Cyderes выяснили, что эта кампания живёт как минимум с апреля 2025 года и никуда не собирается исчезать. Вредоносный код маскируется под безобидный запускатор на базе Ren’Py, из-за чего заражение воспринимается как естественный этап установки. Именно этот момент делает угрозу особенно коварной. Пользователь уверен, что всё идёт по плану, а система уже получила незваного гостя.
После закрепления в системе загрузчик начинает играть вдолгую. Он не обязательно тянет данные сразу. Чаще он открывает канал для следующего шага, подтягивая дополнительные модули.
В связке с HijackLoader на компьютер попадают стилеры, заточенные под сбор учётных данных, паролей и другой информации, которая обычно не вызывает особых подозрений. Внешне ничего не меняется, игра продолжает радовать, а фоновая активность остаётся незаметной.
Приманкой служат проекты, которые стабильно держатся в топе пиратских запросов. В отчётах фигурируют серии от Electronic Arts и Ubisoft, а также известные франшизы Far Cry, FIFA, Need for Speed и Assassin’s Creed. Эти названия регулярно мелькают в репаках, поэтому заражённые сборки растворяются в общем потоке и не вызывают лишних подозрений. Поскольку запуск происходит без сбоев, человек может неделями жить с ощущением удачной «экономии», не подозревая о чужом коде в системе.
Статистика в подобных историях требует аккуратного чтения. По телеметрии зафиксировано более 400 тыс. обращений, связанных с этой цепочкой распространения. Это не означает прямое равенство с таким же числом заражённых компьютеров, но масштаб всё равно впечатляет. Средний темп обнаружений держится на уровне около 5 тыс. фиксаций в сутки. Россия в этих наблюдениях занимает 4-е место, уступая Индии, США и Бразилии.
